跳至主要內容

病患WiFi:NHS信託與醫院營運商的完整指南

一份為NHS信託與醫院營運商提供部署、保護與商業化病患WiFi的權威技術與商業指南。涵蓋網絡分割、DSPT合規性、內容過濾,以及利用分析來改善病患結果。

📖 4 分鐘閱讀📝 859 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
病患WiFi:NHS信託與醫院營運商的完整指南 Purple.ai技術簡報 — 播客腳本 大約時間:10分鐘 --- [簡介 — 1分鐘] 歡迎收聽Purple技術簡報系列。我是主持人,今天我們要討論的是位於病患福祉、IT治理和營運效率交會點的主題:NHS信託和醫院環境中的病患WiFi。 如果您是IT經理、網路架構師,或是NHS信託或私立醫院集團的CTO,這個主題與您的規劃藍圖直接相關。我們將探討您需要做出的基礎設施決策、您無法忽視的合規義務、保護病患和組織的內容過濾政策,以及正在重塑信託如何看待連線即服務的定價模式。 我們也將探討,若WiFi做得正確,實際上如何改善病患結果——不僅是滿意度分數。最後,我們將以一些快速問答和一系列明確的後續步驟作結。 讓我們開始吧。 --- [技術深入探討 — 5分鐘] 讓我們從架構開始,因為這是大多數部署在單一病患連線之前成功或失敗的地方。 醫院WiFi設計的基本原則是網路分割。您是在一個病患的智慧型手機距離生命攸關的臨床系統僅幾公尺的環境中營運——輸液泵、病患監測設備、電子健康記錄終端。這些不能共享同一個網路區段。句點。 標準方法是基於VLAN的分割。您通常會部署三個不同的VLAN:一個用於病患WiFi,一個用於臨床人員和醫療設備,一個用於建築管理系統——CCTV、門禁控制、HVAC。每個VLAN都有自己的QoS政策、自己的防火牆規則和自己的網際網路出口路徑。病患VLAN是會觸及內容過濾器和Captive Portal的那個。臨床VLAN完全繞過Captive Portal,並透過專用的、受監控的路徑路由。 在存取點方面,您應將802.11ax——Wi-Fi 6——視為任何新部署的基準。在病房環境中,您會遇到高裝置密度、來自智慧型手機的大量被動掃描,以及在2.4 GHz頻段運作的醫療設備的干擾。Wi-Fi 6在處理這方面明顯優於其前幾代,這要歸功於OFDMA和BSS著色技術。對於新建或重大翻修,值得指定Wi-Fi 6E——它增加了6 GHz頻段——因為它為高吞吐量應用提供了乾淨、不擁擠的頻譜。 現在,回程線路。這是NHS信託經常投資不足的地方。一個為500張病床的醫院服務的病患WiFi網路,每名病患平均擁有兩個裝置,加上訪客和病患VLAN上的員工,在尖峰時段很容易產生800 Mbps到1.2 Gbps的並行需求。您通往網際網路的上行鏈路需要相應地調整規模。專線——而非共享寬頻電路——是這裡的正確解答。如果您不熟悉專線連線,它是一條位於您的站點和網際網路交換中心之間的專用、對稱、無爭用的連線。這就好比高速公路和鄉間小路的差別。 病患VLAN上的內容過濾既是一種安全措施,也是一項合規要求。NHS已發布指引,建議病患WiFi部署封鎖對包括:成人內容、非法資料、極端主義內容和賭博在內類別的存取。實施方式通常是在病患VLAN上內聯放置基於DNS或代理的過濾器。諸如Cisco Umbrella、Zscaler和Palo Alto等供應商都提供合適的解決方案。關鍵在於確保過濾器一致地套用,根據威脅情報來源近乎即時地更新,並記錄繞過嘗試。 Captive Portal——病患首次連線時看到的登入頁面——是您主要的資料收集和同意機制。根據GDPR,您必須在處理任何個人資料之前取得明確的、知情的同意。這意味著您的Captive Portal需要清晰的隱私權聲明、針對任何行銷通訊的明確選擇加入,以及可儲存和稽核的同意記錄。像Purple的Guest WiFi解決方案這樣的平台原生地處理了這件事,為您提供一個具品牌化、符合GDPR的入口網站,並內建同意管理和分析功能。 現在讓我們談談DSPT——資料安全與保護工具包。這是NHS的年度自我評估框架,對所有NHS組織及其供應商都是強制性的。從WiFi的角度來看,您需要證明的關鍵主張包括:臨床與非臨床系統之間的網路分割、網路基礎設施的存取控制、網路存取事件的稽核記錄,以及書面的安全事件回應程序。如果您正在部署病患WiFi,但尚未根據DSPT主張對應您的架構,那麼您正承擔著可能影響年度提交的合規風險。 關於免費與付費WiFi的問題:絕大多數NHS信託將病患WiFi作為免費服務營運,資金來源要麼是信託的資本預算,要麼是與第三方營運商的管理服務合約。在一些較大型的信託中出現的商業模式涉及特許經營商——一家資助基礎設施部署的公司,以換取透過Captive Portal放送廣告或提供高級內容的權利。這種方式可以運作,但需要仔細的治理,以確保廣告內容適合臨床環境,且病患資料的營利方式不會與NHS的價值觀或GDPR義務相衝突。 --- [實施建議與陷阱 — 2分鐘] 讓我告訴您在病患WiFi部署中最常出錯的三件事,以及如何避免它們。 第一:現場調查不足。醫院是您會遇到的最具挑戰性的射頻環境之一。厚實的混凝土牆、金屬框架的病床、產生干擾的醫療設備,以及形成盲區的電梯井。您需要專業的預測性射頻調查,然後再指定存取點位置,並在上線前進行安裝後驗證調查。兩者都不可省略。 第二:低估合規工作量。DSPT合規性、GDPR同意管理、內容過濾政策文件、滲透測試——這些都不是事後才想到的。從第一天起就將它們納入您的專案計劃。指派一位指定的資訊治理負責人,對合規交付成果負責。如果您使用管理服務供應商,請確保他們的合約包含明確的DSPT合規義務以及他們自身的Cyber Essentials Plus認證證明。 第三:沒有持續監控。病患WiFi不是部署後即可遺忘的基礎設施。您需要持續監控AP健康狀況、用戶端關聯率、吞吐量利用率以及內容過濾器的有效性。像Purple的WiFi Analytics這樣的平台能為您提供網路效能和使用者行為的即時能見度,這對營運管理和向信託領導層展示價值都是無價的。 對於任何著手進行病患WiFi專案的信託,我會提出一項建議:從一個試點病房開始。選擇一個有合作意願的病房經理,部署一個封閉的網路區段,運行90天,收集病患回饋,並使用這些資料在整個信託範圍推出之前,完善您的部署模式。這能降低專案風險,並為您提供一個有說服力的內部案例研究。 --- [快速問答 — 1分鐘] 問:病患WiFi應該與員工WiFi使用相同的SSID嗎? 答:絕對不行。獨立的SSID、獨立的VLAN、獨立的防火牆政策。 問:我們需要WPA3嗎? 答:對於新部署,是的。WPA3是目前的標準,提供比WPA2顯著更強的加密,特別是在開放網路場景中。 問:我們應該保留連線記錄多久? 答:標準建議是最少12個月,這與NHS資料保留指引和《調查權力法》一致。 問:我們可以使用Captive Portal收集病患回饋嗎? 答:可以,而且您應該這麼做。透過Captive Portal傳送的連線後調查,是收集親友測試回應最具成本效益的方式之一。 問:病患WiFi部署的每床典型成本是多少? 答:差異很大,但對於一家中型急性信託的新部署,合理的基準是每床200至400英鎊,全包,包括基礎設施、管理服務和第一年支援。 --- [總結與後續步驟 — 1分鐘] 總結來說:NHS信託中的病患WiFi是一項複雜、合規負擔重的部署,需要仔細的架構、強健的內容過濾和明確的治理框架。若做得正確,它明顯改善病患滿意度、支持數位健康倡議,並減輕目前處理連線投訴的病房工作人員的負擔。 您的後續步驟:如果您還沒有進行現場調查,請委託進行。根據DSPT主張對應您目前的架構。根據包含GDPR合規性、內容過濾能力、分析功能和支援服務層級協議(SLA)的明確評分卡,評估管理服務供應商。 如果您想了解Purple的平台如何對應這些要求,請造訪purple.ai或與我們的醫療保健專家交談。我們已在NHS信託、私立醫院集團和護理之家網路上部署了病患WiFi——可以說,我們知道問題在哪裡。 感謝收聽。下次見。 --- [腳本結束]

header_image.png

এক্সিকিউটিভ সামারি

NHS ট্রাস্ট এবং বেসরকারি হাসপাতাল অপারেটরদের জন্য শক্তিশালী, সুরক্ষিত এবং কমপ্লায়েন্ট রোগীর WiFi প্রদান করা আর কোনো "থাকলে ভালো" এমন সুবিধা নয়—এটি একটি গুরুত্বপূর্ণ পরিকাঠামোগত প্রয়োজনীয়তা। রোগীরা তাদের হাসপাতালে থাকার সময় নিজেদের জীবন পরিচালনা করতে, পরিবারের সাথে যোগাযোগ করতে এবং ডিজিটাল স্বাস্থ্য পরিষেবাগুলি অ্যাক্সেস করতে কানেক্টিভিটি আশা করেন। তবে, একটি ক্লিনিকাল পরিবেশে এই কানেক্টিভিটি প্রদান করা উল্লেখযোগ্য প্রযুক্তিগত এবং পরিচালনা সংক্রান্ত চ্যালেঞ্জ তৈরি করে।

এই গাইডটি আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং CTO-দের রোগীর WiFi নেটওয়ার্ক ডিজাইন, স্থাপন এবং পরিচালনা করার জন্য একটি বিস্তৃত ফ্রেমওয়ার্ক প্রদান করে। আমরা কঠোর নেটওয়ার্ক সেগমেন্টেশনের প্রয়োজনীয়তা, ডেটা সিকিউরিটি অ্যান্ড প্রোটেকশন টুলকিট (DSPT) কমপ্লায়েন্সের জটিলতা, কঠোর কন্টেন্ট ফিল্টারিং বাস্তবায়ন এবং এই স্থাপনাগুলিকে টিকিয়ে রাখার বাণিজ্যিক মডেলগুলি অন্বেষণ করি। রোগীর WiFi-কে একটি সাধারণ কনজিউমার ব্রডব্যান্ড ওভারলে হিসেবে না দেখে এন্টারপ্রাইজ-গ্রেড পরিষেবা হিসেবে বিবেচনা করার মাধ্যমে, ট্রাস্টগুলি ঝুঁকি কমাতে, ক্লিনিকাল সিস্টেমের অখণ্ডতা নিশ্চিত করতে এবং Guest WiFi -এর মতো প্ল্যাটফর্মগুলি ব্যবহার করে কার্যকরী ইনসাইট সংগ্রহ করতে ও রোগীর সন্তুষ্টি বাড়াতে পারে।

টেকনিক্যাল ডিপ-ডাইভ: আর্কিটেকচার এবং স্ট্যান্ডার্ড

যেকোনো হাসপাতালে WiFi স্থাপনের ভিত্তি হলো রোগীর ট্র্যাফিক এবং ক্লিনিকাল সিস্টেমের মধ্যে সম্পূর্ণ বিচ্ছিন্নতা। একটি হাসপাতাল হলো একটি উচ্চ-ঘনত্ব, উচ্চ-হস্তক্ষেপের RF পরিবেশ যেখানে জীবন রক্ষাকারী ডিভাইসগুলি সাধারণ স্মার্টফোনের খুব কাছাকাছি কাজ করে।

নেটওয়ার্ক সেগমেন্টেশন এবং VLAN ডিজাইন

ক্লিনিকাল অখণ্ডতা রক্ষা করতে, রোগীর WiFi অবশ্যই একটি ডেডিকেটেড ভার্চুয়াল লোকাল এরিয়া নেটওয়ার্ক (VLAN)-এ কাজ করবে। স্ট্যান্ডার্ড এন্টারপ্রাইজ আর্কিটেকচার অনুযায়ী কমপক্ষে তিনটি আলাদা সেগমেন্ট থাকা প্রয়োজন:

  1. রোগী/গেস্ট VLAN: একটি Captive Portal-এর মাধ্যমে রাউট করে, কঠোর কন্টেন্ট ফিল্টারিং প্রয়োগ করে এবং শুধুমাত্র ইন্টারনেট অ্যাক্সেস প্রদান করে।
  2. ক্লিনিকাল VLAN: স্টাফদের ডিভাইস এবং চিকিৎসা সরঞ্জামের (যেমন, ইনফিউশন পাম্প, মোবাইল ওয়ার্কস্টেশন) জন্য ডেডিকেটেড। Captive Portal বাইপাস করে এবং একটি মনিটর করা, সুরক্ষিত পথের মাধ্যমে রাউট করে।
  3. বিল্ডিং ম্যানেজমেন্ট VLAN: IoT ডিভাইস, CCTV এবং পরিবেশগত নিয়ন্ত্রণ সমর্থন করে।

রোগীর VLAN-এর ট্র্যাফিক অবশ্যই সুইচ লেভেলে আইসোলেট করতে হবে এবং ফায়ারওয়াল নিয়ম দ্বারা সীমাবদ্ধ করতে হবে যা অভ্যন্তরীণ সাবনেটগুলিতে রাউটিং স্পষ্টভাবে অস্বীকার করে।

network_architecture_diagram.png

অ্যাক্সেস পয়েন্ট ডেনসিটি এবং RF প্ল্যানিং

হাসপাতালে WiFi স্থাপন করার জন্য উল্লেখযোগ্য শারীরিক বাধা—যেমন সীসা-যুক্ত দেয়াল, ভারী যন্ত্রপাতি এবং ঘন কংক্রিট—অতিক্রম করা প্রয়োজন। "হলওয়ে কভারেজ"-এর ওপর নির্ভর করা একটি সাধারণ ব্যর্থতার কারণ। একটি প্রেডিক্টিভ RF সার্ভে এবং এরপরে একটি সক্রিয় পোস্ট-ইনস্টলেশন ভ্যালিডেশন বাধ্যতামূলক।

নতুন স্থাপনার জন্য, IEEE 802.11ax (Wi-Fi 6) হলো বেসলাইন স্ট্যান্ডার্ড। আধুনিক হাসপাতালের ওয়ার্ডগুলির সাধারণ উচ্চ ডিভাইস ঘনত্ব পরিচালনা করতে, লেটেন্সি কমাতে এবং 2.4 GHz ব্যান্ডে কাজ করা মেডিকেল টেলিমেট্রি সিস্টেমগুলি থেকে হস্তক্ষেপ কমানোর জন্য এর Orthogonal Frequency-Division Multiple Access (OFDMA) এবং BSS কালারিং বাস্তবায়ন অত্যন্ত গুরুত্বপূর্ণ।

ব্যাকহল এবং থ্রুপুট প্রয়োজনীয়তা

একটি সাধারণ ভুল হলো এন্টারপ্রাইজ-গ্রেড অ্যাক্সেস পয়েন্ট প্রদান করা কিন্তু অপর্যাপ্ত ব্যাকহলের কারণে সেগুলিকে অকার্যকর করে তোলা। একটি ৫০০ শয্যার হাসপাতাল সন্ধ্যার পিক আওয়ারে সহজেই 1 Gbps সমসাময়িক চাহিদা তৈরি করতে পারে। থ্রুপুট নিশ্চিত করতে এবং কোর নেটওয়ার্কে বটলনেক এড়াতে অপারেটরদের শেয়ার্ড ব্রডব্যান্ড সার্কিটের পরিবর্তে ডেডিকেটেড, আনকনটেন্ডেড লিজড লাইন প্রদান করতে হবে। ডেডিকেটেড কানেক্টিভিটি সম্পর্কে আরও জানতে, What Is a Leased Line? Dedicated Business Internet দেখুন।

ইমপ্লিমেন্টেশন গাইড: কমপ্লায়েন্স এবং ফিল্টারিং

ভৌত পরিকাঠামো স্থাপন করা চ্যালেঞ্জের মাত্র অর্ধেক; গভর্ন্যান্স এবং কমপ্লায়েন্স ওভারলেও সমানভাবে গুরুত্বপূর্ণ。

DSPT কমপ্লায়েন্স

NHS ট্রাস্টগুলির জন্য, ডেটা সিকিউরিটি অ্যান্ড প্রোটেকশন টুলকিট (DSPT) মেনে চলা বাধ্যতামূলক। রোগীর WiFi স্থাপনায় অবশ্যই নিম্নলিখিত প্রমাণ থাকতে হবে:

  • কঠোর নেটওয়ার্ক সেগমেন্টেশন।
  • শক্তিশালী অ্যাক্সেস কন্ট্রোল এবং অডিট লগিং (কানেকশন লগ কমপক্ষে ১২ মাসের জন্য সংরক্ষণ করতে হবে)।
  • বার্ষিক থার্ড-পার্টি পেনিট্রেশন টেস্টিং।

dspt_compliance_checklist.png

কন্টেন্ট ফিল্টারিং

NHS নির্দেশিকা বাধ্যতামূলক করে যে রোগীর WiFi-কে অবশ্যই অনুপযুক্ত বা ক্ষতিকারক কন্টেন্ট, যেমন অ্যাডাল্ট ম্যাটেরিয়াল, চরমপন্থী সাইট এবং জুয়া খেলার প্ল্যাটফর্মগুলিতে অ্যাক্সেস ব্লক করতে হবে। এটি সাধারণত সরাসরি রোগীর VLAN-এ প্রয়োগ করা DNS-ভিত্তিক বা প্রক্সি-ভিত্তিক ফিল্টারিংয়ের মাধ্যমে অর্জন করা হয়। নতুন শনাক্ত হওয়া ক্ষতিকারক ডোমেনগুলিকে ডায়নামিকভাবে ব্লক করতে ফিল্টারিং সলিউশনটিকে অবশ্যই রিয়েল-টাইম থ্রেট ইন্টেলিজেন্স ফিড গ্রহণ করতে হবে।

Captive Portal এবং GDPR

Captive Portal হলো নেটওয়ার্কের গেটওয়ে এবং ব্যবহারকারীর সম্মতি নেওয়ার প্রাথমিক প্রক্রিয়া। GDPR-এর অধীনে, ব্যক্তিগত ডেটা (যেমন MAC অ্যাড্রেস বা ইমেল অ্যাড্রেস) প্রসেস করার আগে ট্রাস্টগুলিকে অবশ্যই স্পষ্ট, অবহিত সম্মতি নিতে হবে। পোর্টালটিকে অবশ্যই একটি স্পষ্ট গোপনীয়তা নীতি এবং সুস্পষ্ট অপ্ট-ইন উপস্থাপন করতে হবে। একটি শক্তিশালী প্ল্যাটফর্ম ব্যবহার করা কমপ্লায়েন্স নিশ্চিত করে এবং মূল্যবান ডেমোগ্রাফিক ডেটা সংগ্রহ করতে সক্ষম করে।

ROI এবং ব্যবসায়িক প্রভাব: ফ্রি বনাম পেইড মডেল

রোগীর WiFi-এর পেছনের বাণিজ্যিক কৌশল এর দীর্ঘমেয়াদী স্থায়িত্ব নির্ধারণ করে।

ফ্রি WiFi মডেল

অধিকাংশ NHS ট্রাস্ট ব্যবহারের স্থানে বিনামূল্যে রোগীর WiFi অফার করে। এই মডেলটি সাধারণত মূলধনী ব্যয় বা অপারেশনাল বাজেটের মাধ্যমে অর্থায়ন করা হয়। ROI মাপা হয় রোগীর সন্তুষ্টি (যা প্রায়শই ফ্রেন্ডস অ্যান্ড ফ্যামিলি টেস্ট স্কোরে প্রতিফলিত হয়) এবং ক্লিনিকাল স্টাফদের প্রশাসনিক বোঝা কমানোর মাধ্যমে, যাদের আর কানেক্টিভিটি সংক্রান্ত অভিযোগগুলি সামলাতে হয় না।

কনসেশনার মডেল

কিছু বড় ট্রাস্ট একটি কনসেশনার মডেল ব্যবহার করে, যেখানে একটি থার্ড-পার্টি ম্যানেজড সার্ভিস প্রোভাইডার (MSP) মনিটাইজেশন অধিকারের বিনিময়ে পরিকাঠামোতে অর্থায়ন করে। এর মধ্যে Captive Portal-এর মাধ্যমে টার্গেটেড বিজ্ঞাপন দেখানো বা একটি টায়ার্ড পরিষেবা (ফ্রি বেসিক ব্রাউজিং, পেইড প্রিমিয়াম স্ট্রিমিং) অফার করা অন্তর্ভুক্ত থাকতে পারে। এই মডেলটি গ্রহণ করলে, ট্রাস্টগুলিকে অবশ্যই নিশ্চিত করতে হবে যে বিজ্ঞাপনের কন্টেন্টটি NHS-এর মূল্যবোধের সাথে সামঞ্জস্যপূর্ণ কিনা তা কঠোরভাবে যাচাই করা হয়েছে এবং ডেটা মনিটাইজেশন অনুশীলনগুলি GDPR মেনে চলে।

WiFi Analytics ইন্টিগ্রেট করার মাধ্যমে, ট্রাস্টগুলি নেটওয়ার্ক ব্যবহার নিরীক্ষণ করতে পারে, রোগীর থাকার সময় ট্র্যাক করতে পারে এবং কানেকশনের পরে স্বয়ংক্রিয় ফিডব্যাক সার্ভে ট্রিগার করতে পারে, যা একটি ব্যয় কেন্দ্রকে অপারেশনাল উন্নতির জন্য একটি কৌশলগত সম্পদে পরিণত করে। এই ডেটা-চালিত পদ্ধতিটি অন্যান্য সেক্টরে, যেমন Healthcare এবং Retail -এ সফল স্থাপনার প্রতিফলন ঘটায়।

關鍵定義

VLAN (Virtual Local Area Network)

一種邏輯子網路,將來自不同實體區域網路的裝置集合分組。對於隔離病患流量與臨床系統至關重要。

網路架構師使用它來確保受損的病患裝置無法存取敏感的醫療設備或電子健康記錄。

DSPT (Data Security and Protection Toolkit)

一種線上自我評估工具,允許NHS組織根據國家資料守護者的10項資料安全標準衡量其績效。

對所有NHS信託強制性要求;未能正確分割病患WiFi或記錄存取可能導致DSPT提交失敗。

Captive Portal

一個公共存取網路的使用者在被授予存取權限之前,必須查看並與之互動的網頁。

取得使用者同意、呈現使用條款,並將品牌識別應用於WiFi體驗的主要介面。

802.11ax (Wi-Fi 6)

第六代Wi-Fi標準,專為改善高密度環境中的效能而設計。

對於病房至關重要,因為數十名病患、訪客和員工的裝置同時競爭傳輸時間。

OFDMA (Orthogonal Frequency-Division Multiple Access)

Wi-Fi 6的一項功能,允許單次傳輸同時向多個裝置傳送資料。

在擁擠的醫院環境中減少延遲並提高效率,防止網路在尖峰時段癱瘓。

內容過濾

使用軟體或硬體來限制使用者被授權透過網路存取的內容。

NHS指引要求,以防止在病患網路上存取非法、極端或成人內容。

專線

一種將企業直接連接到網際網路交換中心的專用、固定頻寬、對稱資料連線。

對醫院WiFi回程線路至關重要,以確保保證的吞吐量,避免共享寬頻的爭用問題。

MAC位址

分配給網路介面控制器(NIC)的唯一識別碼,用於通訊中的網路位址。

根據GDPR被視為個人資料;其由WiFi分析平台進行的收集和儲存需要明確的使用者同意。

範例

一家擁有400張病床的NHS信託,在晚上6點至9點期間,其舊有病患WiFi出現嚴重的網路壅塞,導致病患投訴和員工分心。目前的設定使用共享的500 Mbps寬頻連線,以及位於走廊的Wi-Fi 4 (802.11n)存取點。

  1. 將回程線路升級為專用的1 Gbps對稱專線,以保證尖峰時段的吞吐量。2. 將走廊型Wi-Fi 4 AP替換為室內Wi-Fi 6 (802.11ax) AP,以改善射頻穿透力,並透過OFDMA處理高裝置密度。3. 在防火牆上實施流量塑型,將個別使用者頻寬限制在5 Mbps,防止單一使用者透過4K串流獨佔連線。
考官評語: 這種方法解決了物理射頻限制和邏輯頻寬限制。將AP移入病房解決了醫院牆壁造成的衰減問題,而Wi-Fi 6處理了密度問題。流量塑型確保公平使用,這在公共資助、免費使用的網路中至關重要。

一家私立醫院集團想要部署新的病患WiFi網路,但擔心在Captive Portal上收集病患資料所涉及的DSPT合規性影響。

部署一個符合GDPR的Captive Portal解決方案(如Purple),將驗證資料與臨床資料分開。將入口網站設定為要求對超出網路存取所需最低限度以外的任何資料處理進行明確的選擇加入。透過核心防火牆確保病患VLAN與臨床VLAN嚴格隔離。實施基於DNS的內容過濾,以封鎖惡意和不當類別。

考官評語: 這裡的關鍵是隔離和明確的同意。透過使用受管理的Captive Portal,醫院將同意管理的複雜性外包出去。嚴格的VLAN隔離滿足了保護臨床系統免受不受信任的訪客裝置影響的核心DSPT要求。

練習題

Q1. 一家NHS信託希望為員工和病患實施單一SSID,以「簡化使用者體驗」。他們計劃使用Captive Portal來區分使用者類型。這種做法是否建議?

提示:考慮DSPT對網路分割的要求以及受損病患裝置的風險。

查看標準答案

不,這種做法極不建議,且會帶來重大的安全風險。病患和臨床人員流量必須在VLAN層級上透過獨立的SSID進行隔離。僅依賴Captive Portal進行區分無法提供足夠的第2層隔離,使臨床系統面臨來自不受信任病患裝置的惡意軟體或橫向移動的風險。

Q2. 一家醫院計劃升級其病患WiFi,並希望確保充足的覆蓋範圍。IT經理建議將存取點安裝在主走道上,以覆蓋相鄰的病房並節省硬體成本。這個計劃有什麼缺陷?

提示:思考醫院環境的物理結構和射頻衰減。

查看標準答案

在醫院中,走道安裝是一個有缺陷的策略。醫院牆壁通常包含鉛襯(用於X光室)、重型混凝土和密集基礎設施,這些會嚴重衰減射頻訊號。這導致室內覆蓋不佳、高延遲和連線中斷。應根據專業的預測性射頻調查,在病房或室內部署存取點。

Q3. 一家信託已部署病患WiFi,但在晚間收到速度緩慢的投訴。AP是Wi-Fi 6,核心交換器具備10G能力。網際網路連線是1 Gbps共享寬頻線路。可能的瓶頸是什麼?

提示:區分區域網路容量和廣域網路回程線路。

查看標準答案

瓶頸是共享寬頻網際網路連線。即使有高容量的本地基礎設施(Wi-Fi 6和10G交換器),共享寬頻線路仍受到爭用比率的影響,意味著頻寬與該區域的其他場所共享。在晚間尖峰時段,這種爭用會嚴重降低吞吐量。信託應升級為專用、無爭用的專線。